Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы подключить виртуальную сеть Azure и локальную сеть с помощью Azure ExpressRoute, необходимо сначала создать шлюз виртуальной сети. Шлюз виртуальной сети служит двумя целями: обмен IP-маршрутами между сетями и маршрутизацией сетевого трафика.
В этой статье описываются различные типы шлюзов, номера SKU шлюза и оценка производительности по номеру SKU. В этой статье также описана функция ExpressRoute FastPath, которая позволяет сетевому трафику из локальной сети обходить шлюз виртуальной сети для повышения производительности.
Типы шлюзов
При создании шлюза виртуальной сети нужно указать несколько параметров. Один из обязательных -GatewayTypeпараметров указывает, используется ли шлюз для expressRoute или VPN-трафика. Существуют два типа шлюзов:
Vpn: чтобы отправить зашифрованный трафик через общедоступный Интернет, используйтеVpnдля-GatewayType(также называемый VPN-шлюзом). Site-to-site, point-to-site, and VNet-to-VNet connections all use a VPN gateway.ExpressRoute: для отправки сетевого трафика в частном подключении используйтеExpressRouteдля-GatewayType(также называемого шлюзом ExpressRoute). Этот тип шлюза используется при настройке ExpressRoute.
В виртуальной сети каждому типу шлюза может соответствовать только один шлюз виртуальной сети. Например, у вас может быть один шлюз виртуальной сети, который использует Vpn для -GatewayType, и другой, который использует ExpressRoute для -GatewayType.
Gateway SKUs
Во время создания шлюза виртуальной сети нужно указать SKU шлюза, который вы хотите использовать. При выборе более высокого типа SKU для шлюза, шлюзу выделяется больше процессоров и пропускной способности сети. В результате шлюз сможет поддерживать более высокую пропускную способность для виртуальной сети.
Для шлюзов виртуальной сети ExpressRoute можно использовать следующие значения SKU.
- ERGwScale (предварительная версия)
- Стандарт
- Высокая производительность
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Если вы хотите обновить шлюз до SKU с более высокой пропускной способностью, можно использовать средство миграции шлюза на портале Azure или в PowerShell. Поддерживаются следующие обновления:
- Non-Az-enabled SKU on Basic IP to Non-Az-enabled SKU on Standard IP
- SKU без поддержки Az на базовом IP-адресе и SKU с поддержкой Az на стандартном IP-адресе
- Non-Az-enabled SKU on Standard IP to Az-enabled SKU on Standard IP
For more information, see Migrate to an availability zone-enabled gateway.
Для всех других сценариев понижения необходимо удалить и повторно создать шлюз, что приводит к простою.
Gateway subnet creation
Прежде чем создавать шлюз ExpressRoute, необходимо создать подсеть для него. Виртуальные машины шлюза виртуальной сети и службы используют IP-адреса, содержащиеся в подсети шлюза.
При создании шлюза виртуальной сети его виртуальные машины развертываются в подсети шлюза и на них настраиваются необходимые параметры шлюза ExpressRoute. Never deploy anything else into the gateway subnet. Для правильной работы подсети шлюза должно быть присвоено имя GatewaySubnet, так как это позволяет Azure знать, чтобы развернуть виртуальные машины и службы шлюза виртуальной сети в этой подсети.
Примечание.
Определяемые пользователем маршруты с назначением 0.0.0.0/0 и группами безопасности сети (NSG) в подсети шлюза не поддерживаются. Шлюзы с такой конфигурацией блокируются и не могут быть созданы. Для правильной работы шлюзов нужен доступ к контроллерам управления. Распространение маршрутов протокола BGP для пограничного шлюза должно быть включено в подсети шлюза, чтобы обеспечить доступность шлюза. Если распространение маршрутов BGP отключено, шлюз не будет работать.
Диагностика, путь к данным и путь управления могут быть затронуты, если определенный пользователем маршрут совпадает с диапазоном подсети шлюза или диапазоном общедоступных IP-адресов шлюза.
- We don't recommend deploying Azure DNS Private Resolver into a virtual network that has an ExpressRoute virtual network gateway and setting wildcard rules to direct all name resolution to a specific DNS server. Такая конфигурация может вызвать проблемы с подключением к управлению.
При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. IP-адреса в подсети шлюза выделяются виртуальным машинам и службам шлюза. Некоторым конфигурациям требуется больше IP-адресов, чем прочим.
При планировании размера подсети шлюза обратитесь к документации по конфигурации, которую собираетесь создать. Например, для конфигурации сосуществования vpn-шлюза ExpressRoute и VPN требуется более крупная подсеть шлюза, чем большинство других конфигураций. Кроме того, может потребоваться убедиться, что подсеть шлюза содержит достаточно IP-адресов для размещения возможных будущих конфигураций.
We recommend that you create a gateway subnet of /27 or larger. Если вы планируете подключить 16 каналов ExpressRoute к шлюзу, необходимо создать подсеть шлюза /26 или больше. If you're creating a dual stack gateway subnet, we recommend that you also use an IPv6 range of /64 or larger. Эта настройка подходит для большинства конфигураций.
В следующем примере PowerShell Azure Resource Manager показана шлюзовая подсеть под именем GatewaySubnet. Вы можете увидеть, что нотация CIDR указывает /27, что обеспечивает достаточно IP-адресов для большинства существующих конфигураций.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Внимание
NSGs on the gateway subnet aren't supported. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.
Ограничения и производительность шлюза виртуальной сети
Feature support by gateway SKU
В следующей таблице показаны функции, поддерживаемые каждым типом шлюза, и максимальное количество подключений канала ExpressRoute, поддерживаемых каждым номером SKU шлюза.
| Gateway SKU | Сосуществование VPN-шлюза и ExpressRoute | FastPath | Максимальное количество подключений к каналу |
|---|---|---|---|
| Standard SKU/ERGw1Az | Да | Нет | 4 |
| High Perf SKU/ERGw2Az | Да | Нет | 8 |
| SKU с сверхвысокой производительностью, ErGw3Az | Да | Да | 16 |
| ErGwScale (предварительная версия) | Да | Да — минимум 10 единиц масштабирования | 4 — минимум 1 единицы масштабирования 8 — не менее 2 единиц масштабирования 16 — минимум 10 единиц масштабирования |
Примечание.
Максимальное количество каналов ExpressRoute из одной точки пиринга, которые могут быть подключены к одной виртуальной сети, составляет 4 для всех типов шлюзов.
Estimated performances by gateway SKU
В следующих таблицах представлен обзор различных типов шлюзов, их соответствующих ограничений и ожидаемых метрик производительности.
Максимальные поддерживаемые ограничения
Эта таблица относится как к моделям Azure Resource Manager, так и к классическим моделям развертывания.
| Gateway SKU | Мегабит в секунду | Packets per second | Поддерживаемо число виртуальных машин в виртуальной сети 1 | Ограничение количества потоков | Number of routes learned by gateway |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100 000 | 2 000 | 200 000 | 4000 |
| Высокая производительность, ERGw2Az | 2 000 | 200 000 | 4 500 | 400 000 | 9500 |
| Ультравысокая производительность, ErGw3Az | 10 000 | 1 000 000 | 11 000 | 1 000 000 | 9500 |
| ErGwScale (на единицу масштабирования 1–40) | 1,000 per scale unit | 100,000 per scale unit | 2,000 per scale unit | 100,000 per scale unit | 60 000 всего на каждый шлюз |
1 Значения в таблице оцениваются и зависят от использования ЦП шлюза. Если загрузка ЦП высока и количество поддерживаемых виртуальных машин превышается, шлюз начнет удалять пакеты.
Примечание.
ExpressRoute может упростить до 11 000 маршрутов, охватывающих адресные пространства виртуальной сети, локальные сети и любые соответствующие подключения к пирингу виртуальной сети. Чтобы обеспечить стабильность подключения ExpressRoute, воздерживайтесь от рекламы более 11000 маршрутов в ExpressRoute. Максимальное количество маршрутов, объявленных шлюзом, — 1000 маршрутов.
Внимание
- Производительность приложения зависит от нескольких факторов, таких как сквозная задержка и количество потоков трафика, которые открывает приложение. Числа в таблице представляют собой верхний предел, которого приложение может теоретически достичь в идеальных условиях. Кроме того, мы выполняем обычное обслуживание узла и ОС на шлюзе виртуальной сети ExpressRoute для обеспечения надежности службы. В течение периода обслуживания снижается пропускная способность уровня управления и пути передачи данных шлюза.
- В течение периода обслуживания могут возникать периодические проблемы с подключением к ресурсам частной конечной точки.
- ExpressRoute поддерживает максимальный размер пакета TCP и UDP размером 1400 байт. Размеры пакетов размером более 1400 байт будут фрагментированы.
- Сервер маршрутизации Azure может поддерживать до 4 000 виртуальных машин. This limit includes VMs in virtual networks that are peered. Дополнительные сведения см. в разделе об ограничениях сервера маршрутизации Azure.
- Значения в таблице выше представляют пределы для каждого SKU шлюза.
Zone-redundant gateway SKUs
Вы также можете развернуть шлюзы ExpressRoute в зонах доступности Azure. Разделение шлюзов на зоны доступности физически и логически помогает защитить локальное сетевое подключение к Azure от сбоев на уровне зоны.
Zone-redundant gateways use specific new gateway SKUs for ExpressRoute gateways:
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (предварительная версия)
Новые SKU шлюзов также поддерживают другие варианты развертывания в соответствии с вашими потребностями. При создании шлюза виртуальной сети с использованием новых SKU можно развернуть его в конкретной зоне. Этот тип шлюза называется зональным шлюзом. При развертывании зонального шлюза все экземпляры шлюза развертываются в одной зоне доступности.
Дополнительные сведения о переносе шлюза ExpressRoute см. в статье о миграции шлюза.
Масштабируемый шлюз ExpressRoute (предварительная версия)
SKU шлюза виртуальной сети ErGwScale позволяет достичь подключения 40 Гбит/с к виртуальным машинам и частным конечным точкам в виртуальной сети. Этот номер SKU позволяет задать минимальную и максимальную единицу масштабирования для инфраструктуры шлюза виртуальной сети, которая автоматически масштабируется на основе активной пропускной способности или количества потоков. Можно также задать фиксированный масштабируемый модуль для поддержания постоянного подключения по требуемому значению пропускной способности.
Развертывание в зоне доступности и региональная доступность
ErGwScale supports both zonal and zonal-redundant deployments in Azure availability zones. For more information about these concepts, review the Zonal and zone-redundant services documentation.
ErGwScale доступен в предварительной версии в следующих регионах:
- Восточная Австралия
- Южная Бразилия
- Центральная Канада
- Восточная часть США
- Восточная Азия
- Центральная Франция
- Центрально-Западная Германия
- Центральная Индия
- Северная Италия
- Северная Европа
- Восточная Норвегия;
- Центральная Швеция
- Северная часть ОАЭ;
- южная часть Соединенного Королевства
- западная часть США 2
- Запад США 3
Автомасштабирование и фиксированная единица масштабирования
Инфраструктура шлюза виртуальной сети автоматически масштабируется между минимальной и максимальной единицей масштабирования на основе использования пропускной способности или количества потоков. Выполнение операций масштабирования может занять до 30 минут. Если вы хотите достичь фиксированной связи при определенной пропускной способности, можно настроить фиксированную единицу масштаба, задав минимальное и максимальное значение единицы масштаба одинаковыми.
Ограничения
- Базовый IP-адрес: ErGwScale не поддерживает номер SKU базового IP-адреса. Чтобы настроить ErGwScale, необходимо использовать стандартный IP SKU.
- Минимальные и максимальные единицы масштабирования: можно настроить единицу масштабирования для ErGwScale в диапазоне от 1 до 40. Минимальная единица масштабирования не может быть меньше 1, а максимальное число единиц масштабирования не может превышать 40.
- Сценарии миграции: вы не можете выполнить миграцию из Standard/ErGw1Az или HighPerf/ErGw2Az/UltraPerf/ErGw3Az в ErGwScale в предварительной версии.
Цены
ErGwScale предоставляется бесплатно во время предварительной версии. Сведения о ценах ExpressRoute см. в разделе Azure ExpressRoute pricing.
Поддерживаемая производительность на единицу масштабирования
| Единица масштабирования | Пропускная способность (Гбит/с) | Packets per second | Подключения в секунду | Максимальное количество подключений к виртуальной машине 1 | Максимальное количество потоков |
|---|---|---|---|---|---|
| 1–10 | 1 | 100 000 | 7000 | 2 000 | 100 000 |
| 11-40 | 1 | 100 000 | 7000 | 1,000 | 100 000 |
Пример производительности с единицей масштабирования
| Единица масштабирования | Пропускная способность (Гбит/с) | Packets per second | Подключения в секунду | Максимальное количество подключений к виртуальной машине 1 | Максимальное количество потоков |
|---|---|---|---|---|---|
| 10 | 10 | 1 000 000 | 70 000 | 20,000 | 1 000 000 |
| 20 | 20 | 2 000 000 | 140,000 | 30,000 | 2 000 000 |
| 40 | 40 | 4 000 000 | 280,000 | 50,000 | 4 000 000 |
1 Maximum VM connections scale differently beyond 10 scale units. Первые 10 единиц масштабирования обеспечивают емкость для 2000 виртуальных машин на единицу масштабирования. Scale units 11 and above provide 1,000 more VM capacity per scale unit.
Подключение из виртуальной сети к виртуальной сети и из виртуальной сети к виртуальной глобальной сети
By default, VNet-to-VNet and VNet-to-virtual-WAN connectivity is disabled through an ExpressRoute circuit for all gateway SKUs. Чтобы включить это подключение, необходимо настроить шлюз виртуальной сети ExpressRoute, чтобы разрешить этот трафик. Дополнительные сведения см. в руководстве по подключению к виртуальной сети через ExpressRoute. Чтобы включить этот трафик, см. статью «Включение подключения VNet-to-VNet или VNet-to-virtual-WAN через ExpressRoute».
FastPath
Шлюз виртуальной сети ExpressRoute предназначен для обмена сетевыми маршрутами и маршрутизации сетевого трафика. Функция FastPath позволяет повысить производительность пути к данным между локальной сетью и вашей виртуальной сетью. Если FastPath включен, он отправляет сетевой трафик непосредственно на виртуальные машины в виртуальной сети, обходя шлюз.
Дополнительные сведения о FastPath, включая ограничения и требования, см. в статье о FastPath.
Подключение к частным конечным точкам
The ExpressRoute virtual network gateway facilitates connectivity to private endpoints deployed in the same virtual network as the virtual network gateway and across virtual network peers.
Внимание
- Емкость пропускной способности и уровня управления для подключения к ресурсам частной конечной точки может сократиться наполовину по сравнению с подключением к ресурсам, не являющихся частными конечными точками.
- В течение периода обслуживания могут возникать периодические проблемы с подключением к ресурсам частной конечной точки.
- You need to ensure that on-premises configuration, including router and firewall settings, are correctly set up to ensure that packets for the IP 5-tuple transits use a single next hop (Microsoft Enterprise Edge router) unless there's a maintenance event. If your on-premises firewall or router configuration is causing the same IP 5-tuple to frequently switch next hops, you'll experience connectivity problems.
Подключение к частной конечной точке и запланированные события обслуживания
Private endpoint connectivity is stateful. Когда подключение к частной конечной точке устанавливается через частный пиринг ExpressRoute, входящие и исходящие подключения направляются через один из внутренних экземпляров инфраструктуры шлюза. Во время события обслуживания внутренние экземпляры инфраструктуры шлюза виртуальной сети перезагружаются по одному за раз, что может привести к периодическим проблемам с подключением.
Чтобы избежать или свести к минимуму проблемы с подключением к частным конечным точкам во время обслуживания, рекомендуется задать значение времени ожидания TCP в диапазоне от 15 до 30 секунд в локальных приложениях. Проверьте и настройте оптимальное значение на основе требований приложения.
REST APIs and PowerShell cmdlets
Дополнительные технические ресурсы и конкретные требования к синтаксису см. на следующих страницах при использовании REST API и командлетов PowerShell для конфигураций шлюза виртуальной сети:
| Классическое | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
VNet-to-VNet connectivity
По умолчанию подключение между виртуальными сетями включается при связывании нескольких виртуальных сетей с одинаковым каналом ExpressRoute. Мы не рекомендуем использовать канал ExpressRoute для обмена данными между виртуальными сетями. Вместо этого рекомендуется использовать пиринг между виртуальными сетями. Дополнительные сведения о том, почему подключение между виртуальными сетями не рекомендуется для ExpressRoute, см. в разделе "Подключение между виртуальными сетями через ExpressRoute".
Пиринг между виртуальными сетями
Виртуальная сеть с шлюзом ExpressRoute может иметь пиринг между виртуальными сетями до 500 других виртуальных сетей. Пиринг между виртуальными сетями без шлюза ExpressRoute может иметь более высокое ограничение пиринга.
Связанный контент
Дополнительные сведения о доступных конфигурациях подключений см. в статье Технический обзор ExpressRoute.
В статье Создание шлюза виртуальной сети для ExpressRoute доступны дополнительные сведения о создании шлюзов ExpressRoute.
Дополнительные сведения о развертывании ErGwScale см. в статье "Настройка шлюза виртуальной сети для ExpressRoute" с помощью портал Azure.
Дополнительные сведения о настройке зонально-избыточных шлюзов см. в статье Создание зонально-избыточного шлюза виртуальной сети.
Дополнительные сведения о FastPath см. в статье о FastPath.